蓝科溯源

　　基于防替换、防盗刷等安全因素角度考虑，要求银行、支付机构使用静态条码支付时要执行更加严格的限额管理措施，以鼓励市场主体采用更为安全的动态条码提供支付服务。依据主要市场机构条码支付交易数据显示，上述额度已覆盖绝大部分使用条码支付付款客户及商户的需求。

　　在央行划分的等级体系中，静态码安全性，限额也，只有500元。这个500元的限额是如何制定的呢？

　　为什么静态码限额设为500元

　　（文/本报记者 程婕）

　　随着扫码支付的迅速普及，与之相关的欺诈案例也越来越多。常见的是，商户设置在收银台边的静态码被不法分子悄悄更换。因为二维码图案复杂，难以仔细辨别，连店主都没有发现，结果货款这样轻而易举地进了别人腰包。

　　静态二维码的安全性，远远低于实时生成的动态二维码。动态码每分钟会更新一次，安全性很高。专家建议，使用条码支付时，尽量不要拿手机扫别人的静态条码，而是让别人扫你的手机。

　　该负责人解释称，为引导银行、支付机构提高交易验证方式的安全性，加强客户资金安全保护，对于风险防范能力高、交易验证方式更为安全的，不设定额度上限，市场主体可与客户自行约定交易限额。

　　支付行业内部人士表示，根据现有的扫码消费数据，目前95%以上的消费者每天静态码支付在500元以下，因此绝大多数用户不会受到影响。“一般用静态码，也是在街边买个煎饼果子，买点儿水果蔬菜，500元肯定够了。”退一万步说，算遇到欺诈，损失也比较有限。这一限额保护的是对二维码消费使用不太熟练，无法清晰辨认欺骗行为的用户，这批用户在中国占很大量级。

　　释疑

　　扫码支付设限主要是为安全

　　央行有关负责人表示，条码支付借助开放互联网和非专业设备进行交易处理，带来一定的技术风险。包括：可视化风险，条码在开放互联网环境下以图形化方式进行展示，不法分子可通过截屏、偷拍等手段盗取支付凭证，在支付凭证有效期内盗用资金；易携带恶意代码的风险，条码不仅可存储支付要素，也可携带非法链接或程序代码，不法分子可将木马病毒、钓鱼网站链接制成条码，诱导客户扫描，窃取支付敏感信息；信息单向交互风险，条码支付只能实现发起方或接收方的单向信息交互，不法分子可利用该弱点实施“中间人攻击”，绕过身份认证机制，造成用户资金损失；扫码设备安全强度低的风险，条码支付对设备要求低，普通的手机摄像头、超市简易的收银机扫描枪等不具备加密、防拆机等安全功能的设备均可识别条码，易被不法分子非法改装使用。